具有管理权限的IAM用户,能够用密钥加密EBS卷,而该用户在其密钥策略中没有被添加为密钥用户。

问题描述 投票:0回答:1

我有2个IAM用户(A & B),他们都有管理员权限。以 "A "身份登录后,我在KMS中创建了一个CMK,并且只指定 "A "为 "密钥管理员 "和 "密钥用户"。然而,当我以'B'的身份登录并尝试使用'A'创建的CMK创建一个加密卷时,我仍然能够继续创建卷。当我以'B'身份登录时,我甚至可以禁用密钥。

为什么当'B'没有被添加为密钥策略中的密钥用户时,它仍然能够使用密钥对加密卷进行加密?我是否遗漏了什么概念?

amazon-web-services amazon-iam aws-kms aws-ebs
1个回答
1
投票

你是否检查过卷是否最终被创建并健康运行?

根据 https:/docs.aws.amazon.comAWSEC2latestAPIReferenceAPI_CreateVolume.html。:

AWS对CMK进行异步验证。因此,如果您指定的ID、别名或ARN无效,该操作可能会出现完成,但最终失败。

同时检查kms密钥策略权限,看看都授予了哪些访问权限。

© www.soinside.com 2019 - 2024. All rights reserved.